漏洞挖掘与治理-字节跳动安全范儿技术沙龙第14期.mp4 - 飞书云文档 (larkoffice.com)
1、云服务模型及责任共担模型概述
云服务模型
云服务抽象分层
2、云服务通用风险及真实案例
案例1:基础设施层风险——组件漏洞
利用注册器实现命令执行和网络请求
案例2:基础设施层风险——镜像硬编码敏感信息
AK / SK 接管
案例3:基础设施层风险——镜像敏感挂载
也可能包含 AK / SK
案例4:基础设施层风险——通用密钥
案例5:基础设施层风险——Matedata Server 未授权
案例6:网络层风险——ACL绕过(IP伪造)
案例7:网络层风险——HTTP走私
案例8:应用层风险——SSRF + 未授权
案例9:应用层风险——SSRF(数据库内部函数)
案例10:应用层风险——SSRF(存储引擎)+ Metadata未授权
案例11:应用层风险——SSRF(驱动302跳转)
案例12:应用层风险——SSRF(JDBC漏洞)
案例13:应用层风险——数据库逃逸
低权限用户进行信息收集,拿到 AK / SK
应用层风险——存储桶特性
案例14:应用层风险——存储桶前端可控
案例15:应用层风险——存储桶直传
案例16:应用层风险——任意登录(通用JWT密钥)
案例17:应用层风险——敏感日志打印
AK / SK
学习笔记)
)
